Copy.Fail Linuxの脆弱性

これは過去数年間で最悪のLinux脆弱性です。

簡潔な説明

• copy.failはLinuxカーネルのローカル特権昇格であり、ブラウザやクリップボード攻撃ではありません。Theoriによって2026年4月29日に開示され、動作するPoC（概念実証）が伴っています。
• カーネル暗号API（AF_ALGソケット）とsplice()を悪用して、攻撃者が所有していないファイルのページキャッシュに一度に4バイトを直接書き込みます。
• エクスプロイトはUbuntu、RHEL、Debian、SUSE、Amazon Linux、Fedoraおよび他のほとんどのディストリビューションで変更なしで機能します。レース条件や配布ごとのオフセットはありません。
• ディスク上のファイルは変更されません。AIDEやTripwireおよびチェックサムベースの監視は何も検出しません。
• Kubernetes Pod Security Standards（制限付き）とデフォルトのRuntimeDefault seccompプロフィールは使用されるシステムコールをブロックしません。カスタムseccompプロフィールが必要です。
• メインラインフィックスは4月1日にマージされました。ディストロは現在カーネルをロールアウトしています。パッチを適用してください。

「ローカル特権昇格」は退屈に聞こえるかもしれませんので、説明させてください。つまり：既にマシン上で実行できる何らかの方法を持っている攻撃者でも、最も退屈な非特権ユーザーとしてでも、自分をrootに昇格させることができます。そこからすべてのファイルを読み取り、バックドアをインストールし、すべてのプロセスを監視し、他のシステムにピボットできます。

共有インフラストラクチャではなぜそれが重要なのでしょうか？「ローカル」は2026年に多くを包含するため：共有Kubernetesノード上のすべてのコンテナ、共有ホスティングボックス上のすべてのテナント、信頼されていないプルリクエストコードを実行するすべてのCI/CDジョブ、Windows ラップトップ上のすべてのWSL2インスタンス、シェルアクセスが与えられたすべてのコンテナ化されたAIエージェント。彼らはすべて自分の隣人と1つのLinuxカーネルを共有しています。カーネルLPEはその境界を崩壊させます。

ニュース記事。